軟件源代碼安全測試系統(tǒng)可行性分析報告

軟件源代碼安全測試系統(tǒng)可行性分析研究報告目錄TOC\o"1-5"\h\z一、項目的背景和必要性 1二、國內外現(xiàn)狀和需求分析 2國內外發(fā)展現(xiàn)狀 2需求分析 2三、項目實施內容及方案 4總體思路 4 建設內容 4 項目實施的組織管理 5 項目實施進度計劃 7 TOC\o"1-5"\h\z四、實施項目所需條件及解決措施 8條件需要論述 8 承擔單位具備的條件及欠缺條件解決措施 8 五、投資估算，資金籌措 1...2...項目投資估算 12資金籌措 12六、經濟、社會效益及學術價值分析 1..2..七、項目風險性及不確定性分析 1...3..不確定性分析 13市場風險分析 13技術風險分析 13八、項目主要承擔人員概況 1..4...項目負責人情況 14主要承擔人員及責任分工 14、項目的背景和必要性隨著社會信息化的不斷加深，計算機軟件系統(tǒng)越來越復雜，程序的正確性也難以保證，計算機病毒和各種惡意程序有了賴以生存的環(huán)境。軟件功能越來越負載，源代碼越來越大，我們無法從編碼的角度徹底消除所有的漏洞或缺陷，相當數(shù)量的安全問題是由于軟件自身的安全漏洞引起的。軟件開發(fā)過程中引入的大量缺陷，是產生軟件漏洞的重要原因之一。不同的軟件缺陷會產生不同的后果，必須區(qū)別對待各類缺陷，分析原因，研究其危害程度，預防方法等。我區(qū)的軟件業(yè)發(fā)展尚未成熟，軟件測試沒有得到足夠的重視，大多數(shù)軟件開發(fā)商更多注重的是軟件的功能，對于加強軟件的安全性投入不足，這更增加了軟件安全漏洞存在的可能性。系統(tǒng)攻擊者可以解除軟件安全漏洞輕易的繞過軟件安全認證，對信息系統(tǒng)實施攻擊和入侵，獲取非法的系統(tǒng)用戶權限，執(zhí)行一系列非法操作和惡意攻擊。為了避免各種安全漏洞的出現(xiàn)，軟件測試越來越受到開發(fā)人員的重視。軟件測試不僅僅是為了找出軟件潛在的安全漏洞，通過分析安全漏洞產生的原因，可以幫助我們發(fā)現(xiàn)當前軟件開發(fā)過程中的缺陷，以便及時修復。軟件測試可以提高源代碼的質量，保證軟件的安全性。但是，軟件測試是一個非常復雜的執(zhí)行過程。測試人員需要根據已有的經驗，不斷的輸入各種測試用例以測試。純人工測試效率低，無法滿足信息產業(yè)發(fā)展的需要。我們需要高效的自動化測試源代碼安全測試系統(tǒng)。、國內外現(xiàn)狀和需求分析2.1國內外發(fā)展現(xiàn)狀目前，常用的漏洞檢測方法主要有：安全掃描技術、代碼審查、靜態(tài)分析、動態(tài)監(jiān)測等。代碼審查是人工閱讀代碼，檢查是否有源代碼級別的漏洞。代碼審查耗費人力物力，檢查速度緩慢，不適用于大型項目的檢測。動態(tài)監(jiān)測室在執(zhí)行程序的基礎上，動態(tài)監(jiān)測程序的執(zhí)行狀態(tài)，來檢查程序的正確性。靜態(tài)測試通過對待測源程序做詞法分析，語義分析等源程序信息來檢查待測程序。靜態(tài)測試在不執(zhí)行程序的情況下，分析程序路徑，有更高的覆蓋率和檢測速度，比動態(tài)監(jiān)測更有效，能快速的找到安全漏洞。靜態(tài)分析是靜態(tài)測試的基礎，國內外在靜態(tài)分析方面做了大量的研究，取得一定的成果，并研發(fā)出相應的靜態(tài)分析工具。目前較多使用的有 Soot靜態(tài)分析工具、PC-Lint靜態(tài)分析工具、logiscope軟件質量分析測試工具、FortifySCA源代碼安全掃描、分析和風險管理工具、FindBugs靜態(tài)分析工具等等，國內外已經對自動化測試工具做了很多研究，取得一定的成果。2.2需求分析隨著軟件事業(yè)的發(fā)展，人們逐漸的認識到，想要開發(fā)出高質量的軟件產品，必須對軟件的開發(fā)過程進行改善。研究表明，相當數(shù)量的安全問題是由于軟件自身的安全漏洞引起的。軟件開發(fā)過程中引入的大量缺陷，是產生軟件漏洞的重要原因之一。軟件源代碼安全性缺陷排除是軟件過程改進的一項重要措施。隨著社會信息化的不斷加深，人們不得不開始面對日益突出的信息安全問題。不同的軟件缺陷會產生不同的后果，必須區(qū)別對待各類缺陷，分析原因，研究其危害程度，預防方法等。建立一個比較完整的缺陷分類信息，對預防和修復軟件安全缺陷具有指導作用。在中國的很多軟件企業(yè)存在著重開發(fā)、輕測試的現(xiàn)象，造成日后的軟件產品的質量問題頻出。目前軟件測試人才的缺口在30萬人以上，IT行業(yè)國內外巨頭正在加緊爭奪軟件測試人才，華為曾一次拋出50名軟件測試人員的招聘大單，而聯(lián)想、用友、瑞星等企業(yè)也紛紛打出高薪招聘軟件測試人才的啟事。由于國內軟件測試工程師人才奇缺，并且一般只有大中型企業(yè)才會單獨設立軟件測試部門。第三方測試能夠擬補各方面軟件測試日益增長的需求，特別是源代碼安全測試，技術門檻高，軟硬件設備要求高，企業(yè)不愿意在這方面投入大量的人力和物力資源，使得軟件源代碼測試有強烈的市場需求。我區(qū)軟件產業(yè)起步較晚，目前仍處于襁褓期。至“十五”大以來 城市被批準列入國家信息化試點城市。對于我區(qū)軟件產業(yè)的迅速發(fā)展，同時也對軟件產品質量、安全有更高的要求，這就需要相關專業(yè)軟件方面的測試對軟件產品質量、安全進行保障。三、項目實施內容及方案3.1總體思路軟件源代碼安全測試系統(tǒng)項目的總體目標是通過該系統(tǒng)能夠對 Java、JSP、JavaSript、VBSript、C#、ASPnet、VB.Net、VB6、 C/C++ 、ASP、PHP,Ruby、Android、APEX（AppExchangeplatform） 等主流編程語言的跨站腳本攻擊、SQL注入、Javascript劫持、日志偽造、緩沖區(qū)溢出等安全漏洞技術指標測試，覆蓋所有代碼路徑和查找大部分的安全漏洞類型；建立軟件源代碼安全漏洞庫和安全漏洞解決方案庫。培養(yǎng)和鍛煉一批有技術能力的軟件源代碼安全測評人才隊伍，為自治區(qū)信息安全管理部門提供數(shù)據支撐和決策依據。3.2建設內容（1）建立軟件源代碼安全測試系統(tǒng)平臺。配置主流軟件源代碼安全測試軟件，針對C、C++、Java、C#等主流編程語言提供跨站腳本、SQL注入、緩沖區(qū)溢出、參數(shù)篡改等漏洞進行自動化測試。配置主流服務器，為測試平臺提供硬件支撐。配置軟件環(huán)境，windows、linux、unix、aix等操作系統(tǒng)、SQL數(shù)據庫、weblogic、websphere中間件。配置計算機、筆記本等硬件設施。（2）配備軟件源代碼安全漏洞檢測人員。由于軟件源代碼漏洞分析對人員的技術要求也比較高，測試人員需具有2-3年的編程經驗，也需要具備信息安全方面的技術，才能對自動化工具檢測結果進行審查，降低誤報率。項目需要引進新的人才，同時做相應的培訓。培訓內容包括①軟件測試基礎：數(shù)據庫管理、編程技巧、操作系統(tǒng)、網絡安全；②軟件測試：測試基本理論、軟件缺陷、測試過程、需求管理、文檔編寫、典型軟件機制與缺陷模式、測試項目架構與管理、回歸測試、測試報告；③測試工具軟件培訓；④源代碼安全漏洞與分析。(3)建立軟件源代碼安全檢測實驗室。利用中心現(xiàn)有資源，建設計算機場地和實驗室。根據我中心質量管理體系建立軟件源代碼安全檢測實驗室管理規(guī)范；制定測試流程、測試用例庫、作業(yè)指導書等技術規(guī)范。3.3項目實施的組織管理成立項目實施組，確定項目總負責人項目開始前，成立項目實施小組管理項目開發(fā)實施，確定項目總負責人負完全責任。項目范圍的管理包括下述內容：項目業(yè)務范圍在項目每一階段的前期，由業(yè)務部門與實施項目小組人員共同對業(yè)務需求做詳細的調研和歸納總結。項目實施工作針對調研的結果，進行項目開發(fā)實施。項目文檔管理詳細記錄項目的全過程，整理并最終提供所有技術和項目實施資料。項目實施組的組成及分工整個項目的實施由項目總負責人領導下的項目實施組完成。根據項目的具體要求，實施組又分為項目開發(fā)與實施、測試、培訓與文檔等幾個小組。項目工程師：了解項目需求，提供技術方案；配合項目總負責人明確項目的實施內容；協(xié)助項目總負責人解決、解答有關項目合同中的技術問題。項目開發(fā)與實施組：接受項目總負責人分配的任務，了解項目的需求，了解項目實施的內容;按項目計劃要求具體實施項目；按時保質項目現(xiàn)場實施工作；在項目現(xiàn)場提供必要的現(xiàn)場操作說明；將項目中出現(xiàn)的問題及時反映項目總負責人；及時記錄現(xiàn)場操作內容，形成必要的項目實施文檔。測試組：在質量控制小組和技術專家組的指導下完成項目測試文檔；測試手段的準備，對項目內容進行系統(tǒng)測試；及時將所發(fā)現(xiàn)的問題向質量控制小組和有關的部門通報。培訓組：負責完成項目的培訓工作；完成相關培訓文檔。技術文檔組：負責檢查整個分析和設計文檔的風格一致性、完整性；完成整個系統(tǒng)開發(fā)過程中，各階段文檔的修訂，管理及打字工作；由專人負責技術資料的歸

檔和分類管理。3.4項目實施進度計劃序號時間安排內容摘要1201x年9月至2016年11月可行性報告、實施方案設計、專家評審等。2201x年12月至2017年4月完成實驗室軟硬件、辦公設備米購以及所需辦公場所、機房的調整。管理隊伍建設，運行相關制度、規(guī)章的編制等。3201x年5月系統(tǒng)安裝調試。4201x年6月人員培訓。5201x年9月組織驗收、系統(tǒng)試運行。6201x年10月正式運作，投入使用。四、實施項目所需條件及解決措施4.1條件需要論述依據本項目的實際情況，本項目實施所需條件如下：人力資源要求擁有足夠的專業(yè)從事源代碼測試、實驗、測試的工作人員，并按相應的要求進行配備、管理。場地具有符合要求的實驗、測試及辦公場所。儀器設備、軟硬件環(huán)境基礎平臺：含機柜、交換機、路由器、 PC機、服務器等硬件設施；含操作系統(tǒng)、數(shù)據庫、源代碼安全掃描軟件等軟件設施；通過軟件和硬件的結合，構建一套基礎平臺，滿足網絡通訊、終端操作、業(yè)務承載等基礎功能。安全設施：提供基本的安全功能，如：接入控制；訪問控制；數(shù)據加密；入侵檢測；漏洞檢查；漏洞驗證；攻擊防護；安全審計等設備。使用者可以通過在基礎平臺上使用這些安全設施進行安全研究、攻擊演示和系統(tǒng)測評等工作。管理設施：提供設備統(tǒng)一管理，日志收集分析，安全數(shù)據分析等管理類功能，可以對安全實驗室的資源進行統(tǒng)一整合的管理支持。4.2承擔單位具備的條件及欠缺條件解決措施軟件源代碼安全測試系統(tǒng)搭建工作由XXXXXXX承擔，該所實施此項目已具備一定的基礎人力資源XXXXXXX成立XX多年來，培養(yǎng)了一批專門從事信息安全、電子信息應用和推廣方面的專業(yè)技術人員，專業(yè)技術人員大部分是計算機、信息安全、通信、電子、電子商務等或相近相關專業(yè)；長期以來從事信息安全、電子信息工程技術，電子信息科技管理，電子信息經濟管理等方面的工作，相關經驗比較豐富，能承擔此項目的各項工作。場地XXXXXXX自有辦公樓一棟，使用面積約平方米，有充足的符合要求的場地來建設軟件源代碼安全測試系統(tǒng)。儀器設備、軟硬件環(huán)境?XXXXXXX有良好的網絡基礎設施平臺，Internet接入系統(tǒng)；?XXXXXXX各類檢測、試驗儀器設備及標準計量器具等600多臺(套)，有部分儀器設備(防火墻、入侵檢測、入侵防御、服務器等)可用于搭建軟件源代碼安全測試系統(tǒng)；?XXXXXXX原有實驗室的儀器設備、軟硬件環(huán)境是建設軟件源代碼安全測試系統(tǒng)的基礎。相關技術基礎XXXXXXX具備信息安全測評、信息系統(tǒng)測評、專業(yè)智能化系統(tǒng)測評的能力，在信息安全測評相關方面積累了豐富的實踐經驗。

目前，XXXXXXX為項目的實施打下了良好的基礎，并為實施項目購置好了下表中的部分軟硬件設備，表中軟硬件設備購置完備后將可以建設軟件源代碼安全測試系統(tǒng)總投資：設備投入資金：名稱數(shù)量合計（萬元）測試工具1套工具更新服務1套服務器1臺測試筆記本2系統(tǒng)集成及運維資金：5萬名稱數(shù)量合計（萬元）測試環(huán)境集成1支持環(huán)境集成1培訓資金：4萬名稱數(shù)量合計（萬元）產品培訓/軟件測試知識及技能培訓/其它：1萬名稱數(shù)量合計（萬元）儀器設備計量檢定校準費用/專家評審費/項目總投資萬元，申請納入預算管理的非稅收入撥款萬元五、投資估算，資金籌措5.1項目投資估算項目投資估算表序號項目名稱投資預算（萬元）備注1設備投入資金/2系統(tǒng)集成及運維資金/3培訓資金/4其他費用/合計/5.2資金籌措總投資0萬元，申請納入預算管理的非稅收入撥款0萬元，用于設備采購、系統(tǒng)集成、人員培訓、組織專家論證等支出。六、經濟、社會效益及學術價值分析軟件源代碼安全測試系統(tǒng)實施及工作的開展，可以加強對我區(qū)軟件產品質量監(jiān)督檢驗力度，充實軟件產品安全檢測能力，保證軟件產品及系統(tǒng)運行安全；推動我區(qū)軟件產業(yè)發(fā)展，為提高我區(qū)軟件產業(yè)技術、質量提供更有力的保障；完善我區(qū)軟件行業(yè)檢測體制，為公眾提供有效便捷的本地服務，提供更完善的信息系統(tǒng)安全檢測服務。軟件源代碼安全測試系統(tǒng)的建設具有良好的社會經濟效益和較高的學術價值。七、項目風險性及不確定性分析不確定性分析該項目的實施前期對人力資源的需求較高，需要有相關經驗的高級人才，因此需要資金投入對于人才的培訓、學習，同時也需要資金購入關鍵設備作為軟件源代碼測試支撐，如果資金無法保證，將會給項目帶來很大的困難，這也是目前系統(tǒng)所存在的較大風險。軟件產業(yè)是當前國家和自治區(qū)重點扶持的行業(yè)，國家與我區(qū)的投入都在逐漸增加，但也存在著產業(yè)政策調整的可能性，同時，國家其它相關法律、法規(guī)的頒布與修訂以及產業(yè)政策、稅收政策等方面的調整都可能會給該平臺的研發(fā)帶來不確定的風險。市場風險分析黨的十六大提出了“以信息化帶動工業(yè)化，以工業(yè)化促進信息化”的戰(zhàn)略舉措，這為今后軟件業(yè)的發(fā)展提供了廣闊的舞臺，給軟件產業(yè)提供了新的發(fā)展機遇